Español | English
rss facebook linkedin Twitter

Ventana vulnerable


A estas alturas del año creo que todos nosotros tenemos ya asumido que una gran parte de los riesgos externos vienen a través de vulnerabilidades en el navegador o en aplicaciones que podemos llamar 'aplicaciones Desktop': Office, Outlook, lectores de PDF, lectores de RSS, WinZip, ...

Si habéis atendido a alguno de nuestros webminars sobre nuestro nuevo servicio WebMalware, habéis podido ver que aunque nos sintamos suficientemente seguros con nuestros antivirus, IDS, antispyware, etc, realmente siempre puede existir una ventana de tiempo vulnerable, en donde ninguna capa de seguridad que tenemos a nuestro alrededor sea capaz de detectar una amenaza en curso. Pongamos un caso concreto: entre los varios exploits disponibles en el ya famoso kit MPack, hay una en especial, que afecta a los cursores animados ANI, en donde el exploit ya estaba 'in the wild' tres días antes del parche proporcionado por Microsoft. ¿Qué significa este hecho? Pues que seguramente nuestros IDS no lo detecten, nuestros IPS no lo bloqueen y nuestro antivirus no sea capaz de identificarlo. Aquí es donde se encuentra el verdadero problema de este tipo de riesgos, que podemos equiparar a la aparición de un nuevo virus no conocido cuando empieza el Invierno: algunas personas no serán infectadas debido a alguna propiedad de su organismo (llamémoslo ASLR, GS, UAC o como queramos), pero la mayoría de estas personas seguramente sufrirán el virus (que esperemos que no sea con efectos devastadores).

Esa es la famosa ventana vulnerable que todos tememos, la ventana de tiempo entre que existe un exploit para una vulnerabilidad y el fabricante saca el parche (podéis ver algunos casos reales en la página de Eeye). O un caso más peligroso: 'Adobe confirms PDF backdoor'.

Existen algunas iniciativas para intentar disminuir el tiempo de exposición de estas vulnerabilidades, como puede ser el ZERT (Zeroday Emergency Response Team), que suelen sacar parches antes que los propios fabricantes, pero ojo, luego el fabricante no se responsabiliza si ese parche 'ilegal' provoca un mal funcionamiento en el sistema. ¿Quién se atreve a probarlo y perder el soporte y mantenimiento?

David Barroso
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login